[发明专利]软件成分的分析方法、装置、电子设备及存储介质在审
| 申请号: | 202210336849.0 | 申请日: | 2022-03-31 |
| 公开(公告)号: | CN114860573A | 公开(公告)日: | 2022-08-05 |
| 发明(设计)人: | 汪杰;万振华;王颉;李华;董燕 | 申请(专利权)人: | 深圳开源互联网安全技术有限公司 |
| 主分类号: | G06F11/36 | 分类号: | G06F11/36;G06F16/13 |
| 代理公司: | 广州三环专利商标代理有限公司 44202 | 代理人: | 刘光明 |
| 地址: | 518000 广东省深圳市龙华区民治*** | 国省代码: | 广东;44 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 软件 成分 分析 方法 装置 电子设备 存储 介质 | ||
本申请公开了一种软件成分的分析方法、装置、电子设备及存储介质,其中方法包括:获取待分析数据包;解析待分析数据包,得到对应的若干子文件,根据子文件获取对应的特征信息;在数据库中查找与特征信息配对的组件信息。本申请通过解析子文件来获取对应的特征信息,并在数据库中查找与特征信息相匹配的组件信息,若找到与特征信息相匹配的组件信息,则说明找到与子文件对应的相关组件,因此能够快速、准确地找出对应的相关组件信息,提高检测覆盖率。
技术领域
本申请涉及软件分析技术领域,尤其涉及一种软件成分的分析方法、装置、电子设备及存储介质。
背景技术
SCA(Software Composition Analysis)软件成分分析,通俗的理解就是经过分析软件包含的一些信息和特征来实现对该软件的识别、管理、追踪的技术。利用SCA技术对应用程序进行安全检测,便于安全管理是。然而目前市面上的SCA技术兼容性较差,未能适用不同类型、格式的软件,在使用时容易追踪不到对应的组件,精确性较差。
兼容所有类型和格式的软件成分分析,适用范围广,不仅能准确找出所有引用的第三方组件及其依赖关系,还能找出实际未调用漏洞的且存在漏洞的开源组件,精准性更高。
发明内容
本申请的目的是为解决上述部分技术问题的不足而提供一种软件成分的分析方法、装置、电子设备及存储介质,能够快速、准确地找出对应的相关组件信息,提高检测覆盖率。
为了实现上述目的,本申请提供了一种软件成分的分析方法,其包括:
获取待分析数据包;
解析所述待分析数据包,得到对应的若干子文件,根据所述子文件获取对应的特征信息;
在数据库中查找与所述特征信息配对的组件信息。
可选地,所述子文件包括配置文件,所述配置文件记录有对应开源组件的坐标信息;
所述特征信息包括坐标信息;
所述“解析所述待分析数据包,得到对应的若干子文件,根据所述子文件获取对应的特征信息”,包括:
解析所述配置文件,获取对应开源组件的所述坐标信息;
在数据库中查找与所述坐标信息配对的组件信息。
可选地,所述子文件包括源代码文件;
所述“解析所述待分析数据包,得到对应的若干子文件,根据所述子文件获取对应的特征信息”,包括:
解析所述源代码文件,从所述源代码文件中提取特征代码;
根据所述特征代码得到对应的特征信息。
可选地,所述子文件包括源代码文件;
所述“解析所述待分析数据包,得到对应的若干子文件,根据所述子文件获取对应的特征信息”,包括:
根据各所述源代码文件,解析得到对应的哈希信息;
在数据库中查找与各所述哈希信息配对的组件信息。
可选地,所述“根据各所述源代码文件,解析得到对应的哈希信息”包括:
根据各所述源代码文件中的部分代码片段和/或函数信息,解析出所述代码片段和/或函数信息对应的哈希信息;
在数据库中查找与各所述哈希信息配对的组件信息。
可选地,所述方法还包括:
所述待分析数据包包括二进制包;
所述“解析所述待分析数据包,得到对应的若干子文件,根据所述子文件获取对应的特征信息”,包括:
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于深圳开源互联网安全技术有限公司,未经深圳开源互联网安全技术有限公司许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/202210336849.0/2.html,转载请声明来源钻瓜专利网。
